|
|
51CTO旗下网站
|
|
移动端

百年老店惠誉评级公司成功升级到DevSecOps应对了哪些挑战?

2015年Mir Ali加入惠誉评级(Fitch Ratings)时,公司已经在热议改变软件流程,原因是软件堆栈不可靠。惠誉评级是一家金融公司,与穆迪和标准普尔同为美国证券交易委员会(SEC)认定的三大全国公认的统计评级机构。

作者:布加迪编译来源:51CTO|2018-10-17 08:00

百年老店惠誉评级公司成功升级到DevSecOps应对了哪些挑战?

【51CTO.com快译】2015年Mir Ali加入惠誉评级(Fitch Ratings)时,公司已经在热议改变软件流程,原因是软件堆栈不可靠。惠誉评级是一家金融公司,与穆迪和标准普尔同为美国证券交易委员会(SEC)认定的三大全国公认的统计评级机构。

现为惠誉共享服务主管的Ali表示,让一家百年历史的公司改用DevSecOps(开发安全运维)并非易事。但再也不能无视存在的问题了。他说,大家基本上不明白出现在生产环境中的情况。故障太多,无法追根溯源,整条管道上下缺乏合作。事件发生时,没有人知道原因,也不知道该怎么做。标准程序就是重启数据库服务。这在SEC监管的公司显然是不可接受的。

重大挑战

一个挑战是普遍缺乏安全知识。另一个挑战是缺乏合作或对个人的责任缺乏了解。最后是自动化不足。

起初,有很多事情要做,很难分清轻重缓急。团队冷静下来思考,对于他们想要的内容从长计议,而这个愿景为他们随后的所有决策提供了指导。

他们决定将消除安全缺陷放在首位。剩余的任务分为三个方面。他们希望在整个开发过程中确保安全,并在整个公司中实现这套流程标准化。最后,他们希望尽可能地简化流程。

Ali表示,简而言之,DevSecOps扩大了DevOps合作的范围,包括安全。

devsecops.org声称:“DevSecOps的目的和意图是立足于‘每个人都对安全负责’这个理念,目的是在不牺牲所需安全的情况下,尽快让最高层的人员做出安全决策。”

在整个开发过程中运用安全

Ali表示,关键是将安全整合到DevOps管道中,因而让安全成为整个软件开发过程中不可或缺的一部分。

图1:惠誉的DevSecOps管道中的安全检查点

管理团队一开始在打破整个DevOps管道的孤岛时,将安全专家安插到了每个团队。他说:“让他们觉得自己是团队的一员,听取他们的意见,运用他们的技能。让这成为自动化的一部分。”安全专家让你洞察上下文,提供了专业知识,了解最新风险以及我们需要注意什么。安全成了每个人的工作。

接下来,他们部署了安全工具。Ali说:“这不仅仅与工具有关,你还要部署使安全成为可能的工具。”比如说,良好的仪表板以及自动化是关键。为了确保持续交付管道的安全性,适当的访问控制、严加保护构建系统以及统一命名约定是几个优先事项。

他们从容易见效的方面着手。雅虎的数据泄露是由于它的系统没有落实密码保护机制,因此有人克隆了其数据库。他表示,应该避免这样的情况。所以第一步是,默认任何人都无权访问。必须授予权限,而且完全基于角色并自动化。

“加密一切”成了新的座右铭。深入了解管道是另一个关键方面。Ali建议:“确保日志条目一目了然。”许多日志看起来像乱码,这在排除故障时毫无助益。

设立安全检查点

一旦基本的整体安全到位,他们开始为管道设立自动化安全检查点。他说:“如果系统没有通过,工程师会关闭系统,说‘稍后我再处理’,但他们永远不会处理。”通过自动化检查点,你不给他们这样的机会。他们使用Gauntlt,这个工具让用户可以专门针对安全编写自动化测试。

图2:惠誉的DevSecOps管道

Ail加入时,工程师们一直在部署扩展数据规模的解决方案,但是每个团队独立工作,因此部署了各种各样的解决方案,工程师们给出了一大堆不同的选择。一段时间后,工程师们为管道的每个部分选择了满足要求的最佳解决方案,并使其成为标准。

与PagerDuty自己的DevOps转型相似,这个项目耗时大概三年。

DevSecOps的误区

Ali表示,DevSecOps方面有几个误区需要揭穿。第一个误区是,如果你实现安全自动化,就放弃了控制。事实上,这让贵公司更加合规。自动化提供了一致性和可追溯性。

下一个误区是,只要添加安全工具即可打造DevSecOps。关键不是添加新工具,也不是增加更多的开发人员。他表示,DevSecOps不是一种能力,而是一种理念。“可以借助已有的开发人员轻松做这项工作。”让安全成为他们工作的一部分,成为绩效评估的一部分。

从哪儿开始?

仍然不知所措?答案是从小处入手。Ali先从电子邮件集成入手,慢慢地添加了工具,开始打破孤岛,改变期望目标。电子邮件集成完成后,该公司开始使用PagerDuty的警报服务,这促使公司集成了Atlassian的Jira错误跟踪系统,整条管道集中起来,拥有日志和智能监控功能。

三年后的今天,他们在故障发生之前就能发现隐患。

开发人员面临的最大挑战

你要站在开发人员的角度来考虑。如果你告诉他们,你要自动化,要使用DevOps工具,现在说‘还要融入安全’,那么从他们的角度来看,突然之间有三份工作,而不是只有一份工作。

Ali说:“有鉴于此,我会讨厌那样的工作。”于是他加入公司,积极提供指导和支持。他告诉团队,他们要提供培训、工具和框架,并支持开发人员的工作。

看到大部分工作已完成,开发团队意识到他们不得不充分利用自动化。现在,没人签入代码,每个人都很自然地完成工作。部署不再是个问题。

他说:“仍然存在挑战,但我们已经为他们开始采用DevSecOps开辟了一条道路。”

最后提示

他说:“你要意识到你把数据放在哪里,弄清楚里面有什么数据,如何检查数据,谁与数据交互以及数据如何受到保护。”

“除非你提出这些问题,否则你的应用程序和数据是不安全的。”

原文标题:100-Year-Old Fitch Ratings Upgrades to DevSecOps,作者:TC Currie

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Linux标准教程

本书以Linux Redhat 9.0中文版为基础编写,从易用性和实用性角度出发主要介绍Linux Redhat 9.0中文版的应用知识,通过本书的学习,相信初中...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊